我的团队正在一个小型研究生院build立一个活动目录环境,支持一般的计算机实验室,以及员工/教师机器和账户pipe理。
我们有一个学生顾问团队被聘请做一般的帮助台工作。 截至目前,我们在每台机器上都有一个本地pipe理员帐户。 它有相同的密码,我们都知道。 我知道这不是最好的做法,我想用新的设置来避免这种情况。 我们希望拥有本地pipe理员帐户,以防止存在阻止AD身份validation的networking问题,但是我们不希望此帐户通用于共享密码。 有没有办法让每台机器caching必要的信息来validation一组本地pipe理员,这样,如果AD在某种程度上无法访问,学生顾问仍然可以使用他们的ADpipe理员帐户login?
过去我曾经在这个环境中工作过,机器有两万名学生,而我们甚至从来没有给我们全职的安装系统的技术人员提供pipe理权限,我们也从来没有梦想给学生pipe理权限,因为在工作时间以外的实验室中发现Doom / Quake / Minecraft局域网派对的风险。
如果您正在使用某种部署技术来重新安装系统,则只需要几分钟的技术人员时间来重新安装PC。 让某人重新映像系统比有人login来诊断/纠正问题要高效得多。 由于部署可以处理部署过程的每个部分,因此不需要pipe理员权限。
如果是硬件问题,如果您使用的是基于networking的部署方法,则会在几分钟之内显示出来,此时技术人员/学生只需将备用计算机与PC交换出去,并在制作本机之前诊断并修复硬件问题新的备用。
你所描述的networking问题在我的经验中是非常罕见的,通常是硬件故障而不是软件故障,而且不需要pipe理员权限。
在域中启用caching的凭据,并为本地帐户创build密码重置磁盘。 我认为,如果你的整个域名消失了,你会忙于解决其他问题,没有networking连接性,用户将完成哪些工作? 假设他们的凭据没有caching,你会让他们都以pipe理员身份login?
一旦Active Directory就位,它将不仅仅用于本地pipe理员访问,所以通过在环境中拥有多个域控制器来提高AD服务的可用性将会更有成效。 为了节省资源,您可以在虚拟环境中保留一个DC作为物理和其他DC。
有一个后门是很好的。 有一些事情可以做。
1.紧急pipe理员
您可以使用GPO在每台计算机上创build一个紧急用户。 这样所有计算机上的密码都是一样的,但是每个月都可以很容易的修改。
你可以这样做:
计算机configuration – >首选项 – >控制面板设置 – >本地用户和组。
请确保您的密码设置为“永不过期”,并且不要使用“用户必须在下次login时更改密码”。 您也可以通过GPO将用户添加到本地pipe理员组。 你会发现它在:
计算机configuration – >策略 – > Windows设置 – >安全设置 – >受限制的组
2.更改密码脚本
您可以为每台将密码更改为随机值的计算机定义启动脚本,并将密码写入networking上的(安全)位置。
您可以下载我的博客中写的脚本:http: //zeda.nl/b05